すでにご存知かもしれませんが、先日、共和党副大統領候補サラ・ペイリン氏のYahoo!メールアカウントに何者かが侵入し、そこにあった写真や複数のメッセージをオンラインに投稿しました。あなたにも同じことが起こる可能性はあるでしょうか?
おそらく、あなたの潜在的なリスクに注意を払う価値はあるでしょう。侵入は驚くほど簡単に起こりました。ペイリン知事のメールアカウントへの侵入には、複雑なハッカーの手口は一切使われていませんでした。侵入の経緯、なぜ少し心配する必要があるのか、そしてどう対処すればいいのか、以下に説明します。
セキュリティが侵害された経緯
ペイリン氏は知事としての公式メールアドレスを保有していますが、少なくとも一つのYahoo!アドレスも保有しています。他のオンラインサービスと同様に、Yahoo!もユーザーがパスワードをリセットできる手段を必要としています。できれば、(高額な)人的介入を必要としない自動化されたソリューションが望ましいでしょう。Yahoo!では、事前に設定された「秘密の質問」に正しく答えることでこれを実現します。秘密の質問に正しく答えると、Yahoo!はオンラインフォームを使ってパスワードをリセットできるようにします。リセット後、新しいパスワードでログインすれば、再び利用できるようになります。パスワードを忘れてしまったユーザーにとって、これは時間を節約できる便利な機能です。しかし残念ながら、他人のアカウントに侵入しようとするハッカーにとっても、これは大きな時間節約機能となります。(この機能はYahoo!に限ったものではなく、多くのオンラインサービスが同様のパスワードリセット機能を提供していることに注意してください。)
したがって、ペイリン知事の Yahoo メール アカウントに侵入するには、ハッカーは彼女のアカウント名、秘密の質問、そしてその秘密の質問の答えを知る必要がありました。これは非常に困難なことのように思えますが、2 つの要素によって作業ははるかに簡単になりました。まず、Yahoo には「配偶者とどこで出会ったのですか?」「趣味は何ですか?」「高校時代のマスコットは何でしたか?」など、わずか 9 種類の秘密の質問が定義されたリストがあります。しかし、ハッカーはユーザーが使用している秘密の質問が何であるかを知る必要さえありません。アカウントの電子メール アドレスを知っていれば、パスワード リセット ページにアクセスでき、そのページでは、秘密の質問と答えを入力するボックスの横に表示されます。その知識があれば、ハッカーはその質問の答えを探し始めることができます。
作業をはるかに容易にした2つ目の要因は、サラ・ペイリンが著名人であることです。Google検索からWikipediaページ、LinkedInページまで、彼女に関する情報は豊富にあります。そのため、ハッカーは公開されている様々な情報源を閲覧するだけで、いわゆる「秘密の質問」のほとんどに妥当な答えを導き出すことができるでしょう。
ペイリン氏のアカウント名と、既知の秘密の質問に対する複数の回答を入手したハッカーは、そのアカウントのパスワードリセットページにアクセスし、見つけた回答を入力するだけで済みました。Yahoo!はパスワードリセットページへのアクセスを24時間ブロックするまで、最大10回まで試行できます。(この時点では、元のパスワードを知っている限り、ログインは可能です。)一致する回答が見つかると、ハッカーはパスワードリセットボックス(ここに示す)にたどり着きます。Yahoo!は、秘密の質問への回答によって本人確認が完了したと説明しています。
他の多くのオンラインサービスでは、ハッカーは既にブロックポイントに達しているはずです。多くのサービスでは、パスワードをリセットする際に、最初のサインアッププロセスで指定した別のメールアドレスに確認メールが送信されます。確認メールに対して何も対応しなければ、パスワードはリセットされません。Yahoo!は新規アカウント作成時に別のメールアドレスを求めますが、パスワードを忘れた場合のページを使用すると確認メールは送信されず、パスワードは即座にリセットされます。(これは今日現在も、新規に作成したYahoo!アカウントで確認しました。パスワード変更後にはメールが届きますが、その時点では手遅れです。)
心配すべきでしょうか?
ログインが必要でパスワードリセット機能を備えたオンラインサービスを利用している場合、この種の攻撃はある程度の懸念事項です。特に、ソーシャルネットワーキングを頻繁に利用し、Facebook、LinkedIn、Flickrなどに詳細なページを開設している場合はなおさらです。もしあなたがこれに該当するなら、オンラインアカウントのパスワードリセット機能をテストすることをお勧めします。理想的には、以下の機能が提供されている必要があります。
- 事前に定義された膨大な数の質問のうち、答えが公共の場で簡単に見つけられないもの。例えば、高校のマスコットは、答えが簡単に見つかる秘密の質問の例です。出生証明書に記載されている医師の名前や、SATやACTのスコアなどは、より見つけにくいでしょう。つまり、答えを知っている(あるいは自宅の書類で見つけられる)情報であっても、インターネット上のどこかに公開されている可能性は低いということです。
- 独自の 秘密の質問を定義する機能。独自の質問と回答を作成できるため、選択した質問(およびそれに対応する回答)がインターネット上のどこにも表示されないようにすることができます。例えばGoogleは、この機能を(あらかじめ定義された質問のリストに加えて)オプションとして提供しています。
- パスワードのリセット処理前に確認メールが送信されます。オンラインサービスが上記の2つの機能を提供していない場合でも、パスワードをリセットする前に別のメールアドレスからの確認クリックを要求していれば、かなり保護されていると言えるでしょう。私が利用しているサービスの中にはまさにこの仕組みを採用しているものがあり、実際にはパスワードのリセットをリクエストしていないにもかかわらず、リクエストしたというメール通知を受け取ったことがあります。自分が承認しない限りリセットは処理されないという安心感は大きいです。
自分を守る方法
では、上記の基準をどれも満たさないオンラインサービスに依存していることに気づいたら、どうすればいいのでしょうか? 自分を守るためにできることはまだあります。まず、そのサイトが提供する秘密の質問を確認し、Facebookや他のオンラインサービスで提供している情報と比較してみましょう。例えば、「配偶者とどこで出会いましたか?」という秘密の質問を使っているなら、ロサンゼルスのマンハッタンビーチでバレーボールの大会中にパートナーと出会ったというストーリーをFacebookに投稿するべきではありません。
しかし、本当にその個人情報を世界と共有したい場合、それを秘密の質問として使用しますか?または、その情報がインターネットの広範な範囲に存在する可能性があるかどうかわからず、どこかに出回っている場合に自分自身を保護したい場合はどうしますか? このような場合、最も安全な方法は、オンラインサービスでの質問に対する予想外の回答を使用することです。したがって、例の質問の回答として Manhattan Beach を使用する代わりに、he knows where we metまたはthat place with the sun and sand and nets を使用します。イベントに結び付けられた回答を選択した場合、それを覚えておくことができます (または、覚えていない場合は安全な場所にメモしておくことができます) が、インターネット上で発見されることはありません。
最後に、ほとんどのことと同様に、少しの常識が自分を守る上で大きな役割を果たします。お気に入りのオンラインサービスで、2500万人もの見知らぬ人と私生活のあらゆる側面を共有したくなるかもしれませんが、誰でもそのサービスにアカウントを取得でき、あなたが公開した情報をすべて読むことができることを忘れないでください。オンラインアカウントの盗難だけでなく、個人情報を過度に共有すると、なりすましや個人情報窃盗犯罪につながる可能性があります。共有するのはもちろんですが、慎重に共有しましょう。
